Últimos Cambios
	Blog personal: El hilo del laberinto

Cómo ayudar a evitar ataques DoS

Última Actualización: 13 de Abril de 2.000 - Jueves

SANS Institute envía a sus organizaciones asociadas un llamamiento para que configuren correctamente sus sistemas y así evitar en lo posible los ataques de denegación de servicio (DoS), últimamente tan de moda en Internet.

No vamos a repetir aquí lo que ya hemos dicho en anteriores boletines (ver enlaces al final de este documento) sobre los ataques de denegación de servicio, sus implicaciones y la forma de evitarlos. En esta ocasión SANS Institute, una organización conocida y reputada en el campo de la seguridad, hace un llamamiento para que todas las organizaciones conectadas a Internet configuren correctamente sus sistemas y, así, evitar ataques de denegación de servicio a terceros.

Efectivamente, estas medidas no evitarán que se realicen ataques DoS contra nosotros, pero evitarán en lo posible que nuestros sistemas sean empleados contra máquinas ajenas o, llegado el caso, permiten que se nos pueda identificar (y por tanto, ponerse en contacto con nosotros) si nuestra red está siendo utilizada en un ataque de este tipo.

Las reglas son extremadamente sencillas y se implantan de forma muy eficiente en cualquier router de frontera. Personalmente opino que estas configuraciones deberían ser absolutamente obligatorias para cualquier organización conectada a Internet, incluyendo a los propios "carriers".

• Regla a aplicar a los datagramas que entran en nuestra red:

  Deben filtrarse todos los datagramas entrantes cuya dirección de origen o remitente:

  • Sea inválida por pertenecer a los rangos asignados a redes privadas.

  • Pertenezca a nuestra propia red.

  También deben filtrarse los datagramas entrantes cuyo destinatario sea la dirección "broadcast" de nuestra red.

  De esta forma se evitan un buen número de ataques y, por otra parte, se evita también que seamos utilizados como amplificador "smurf" contra otros.

• Regla a aplicar a los datagramas que salen de nuestra red:

  No debe permitirse que ningún datagrama malicioso abandone nuestra red, de forma que pueda atacar otras. Para ello:

  • No debemos dejar salir ningún datagrama cuya dirección IP fuente pertenezca al rango de IPs reservadas para redes privadas.

  • No debemos dejar salir ningún datagrama cuya dirección IP fuente no pertenezca a nuestra red.

Adjuntamos el llamamiento remitido por SANS Institute:

>>>>>

To: Jesús Cea (xxxxxxx)
From: Alan Paller, Research Director, The SANS Institute

This is an urgent request for your cooperation to slow down the wave of
denial of service attacks?

As you may know, denial of service (DOS) attacks are virulent and still
very dangerous. These are the attacks responsible for the many outages
reported recently in the press and others that have been kept more secret.
DOS attacks are a source of opportunities for extortion and a potential
vehicle for nation-states or anyone else to cause outages in the computer 
systems used by business, government, and academia.  DOS 
attacks, in a nutshell, comprise a world-wide scourge that 
has already been unleashed and continues to grow in 
sophistication and intensity.

One effective defense for these attacks is widely available and
is neither expensive nor difficult to implement, but requires
Internet-wide action; that's why we're writing this note to
request your cooperation.

The defense involves straightforward settings on routers that
stop key aspects of these attacks and, in doing that, reduce
their threat substantially. These settings will not protect you
from being attacked, but rather will stop any of the
computers in your site from being used anonymously in attacking
others. In other words, these settings help protect your systems
from being unwitting assistants in DOS attacks, by eliminating
the anonymity upon which such attacks rely.  If everyone
disables the vehicles for anonymity in these attacks, the attacks
will be mitigated or may cease entirely for large parts of the net.

The simple steps can be found at the SANS website at the URL
http://www.sans.org/dosstep/index.htm and will keep your site
from contributing to the DOS threat.  Tools will soon be
publicly posted to determine which organizations have and have
not protected their users and which ones have systems that 
still can be used as a threat to the rest of the community.

More than 100 organizations in the SANS community have tested
the guidelines, which were drafted by Mark Krause of UUNET with
help from security experts at most of the other major ISPs and 
at the MITRE organization. The testing has improved them 
enormously. (A huge thank-you goes to the people who did the 
testing.)

We hope you, too, will implement these guidelines and reduce
the global threat of DOS attacks.

We also urge you to ask your business partners and universities and
schools with which you work to implement these defenses.  And if you
use a cable modem or DSL connection, please urge your service provider
to protect you as well.

As in all SANS projects, this is a community-wide initiative.  
If you can add to the guidelines to cover additional routers and systems,
we welcome your participation.

Alan

Alan Paller
Director of Research
SANS Director of Research
sansro@sans.org
301-951-0102

<<<<<

Más información:

• Immediate Actions Requested Of All Organizations Connected To The Internet

• Ataques masivos. ¿Es tan fiero el león como lo pintan?

• Address Allocation for Private Internets

• Changing the Default for Directed Broadcasts in Routers

• Cómo ayudar a evitar ataques DoS (Página residente en Hispasec)
• Hispasec
• Artículos
• La Página de Jesús Cea Avión

©2000 jcea@jcea.es

Más información sobre los OpenBadges

Donación BitCoin: 19niBN42ac2pqDQFx6GJZxry2JQSFvwAfS